Mari agak serius sedikit dan mengerutkan dahi hehehe seperti judulnya saja sudah ngeri hehehe Cara Mencari Kelemahan Suatu Web Tanpa Software santai saja sambil ngopi biar rileks.
Ada banyak macam cara jenis serangan yang sesungguhnya dapat digunakan untuk menemukan suatu celah keamanan di setiap targetnya. Namun sebelum menentukan pola serangan tersebut, sobat terlebih dahulu menentukan tahapan apa saja sech yang dibutuhkan untuk membobol keamanan targetnya tersebut. Caranya menggunakan prinsip logika sederhana namun rumit. Diakatakan sederhana karena prinsip pola pikirnya yang utama adalah jika celah sudah ditemukan maka tembuslah target sasaran tersebut. Akan tetapi untuk menyelesaikan 2 tahapan ini diperlukan pola sederhana dan sobat akan mengalami tahapan dengan berbagai macam logika yang amat sangat rumit sekali.
adapun beberapa cara untuk mengenali objek sasaran :
- Social Engineering, Cara ini populer digunakan ketika sulit sekali dalam mendapatkan informasi yang real secara digital
- History website, Methode melihat history website dengan menggunakan tools
- Wayback Machine, digunakan sebagai informasi untuk mendapatkan dan mengetahui sistem seperti apa yang digunakan oleh suatu target sasaran dalam mengelola websitenya
Setelah informasi yang didapatkan mengenai target sasaran setidaknya ada satu langkah sudah dilalui, perlu di ingat bahwa tidak ada satupun dari sistem keamanan yang ada didunia ini benar benar secure.
Konsep dasarnya secara teori untuk mendapatkan celah dari target sasaran adalah dengan mencoba menyerang unsur keamanannya seperti Availability, Confidentiality, Integrity. Pola fikir dalam mencari celah keamanan tersebut adalah seperti berikut:
- Mencoba memanfaatkan kecerobohan struktur URL(local file inclusion). Contoh: http://www.terget.com/main.php?content=folder/tes.html. Terlihat jelas bahwa main.php sudah memberi jalan ke halaman tes.html dimana pada folder "folder" mencoba untuk memasukan parameter "content". Andai saja parameter tersebut tidak di proteksi dengan session maka sudah jelas sekali untuk bisa memasukan beberapa dari include yang nantinya akan memunculkan suatu data. Contoh lainnya seperti http://www.target.com/main.php?content=./../../../../../../../../etc/paswd. Jika tidak di proteksi akan memunculkan isi dari file /etc/passwd yang memiliki isi dari daftar user pada server tersebut untuk ditampilkan pada area content. Yang celaka aadaalah seperti pada contoh kasus lain yakni URL yang tidak teliti dan cermat bisa disisipi sebuah shell dengan script tertentu yang dapat membuat web server tersebut bisa dikenadalikan secara utuh.
- Dengan memanfaatkan tidak adanya securitas captcha dan juga sanitasi input dengan HTML Injection, Celah ini biasanya digunakan untuk jalur menyerang, sedangkan html injection itu sendiri biasanya digunakan untuk menyerang buku tamu. Methode menggunakan script html tertentu dimana ketika sedang di proses tidak ada sanitasi oleh website target sasaran, misalnya pada buku tamu website target dengn mengisikan hacker kid” disetiap form buku tamu yang pada umumnya outputnya menghasilkan tulisan dengan heading 1, kemudia dilanjutkan dengan memasukan unsur java script, apabila javascript tersebut sudah terekseskusi maka sudah sudah dipastikan bisa tertanamnya kode java script tersebut untuk mencuri data-data sensitif , hal ini sangat diperparah tidak adanya securitas captcha yang sangat memungkinkan terjadinya aktifitas spammer.
- Dengan mencari port yang terbuka menggunakan nmap, Menggunakan tools seperti nmap yang bertujuan untuk melakukan port scaning sehingga nantinya mengetahui kira-kira port yang mana saja yang terbuka, dan jenis serangan seperti apa saja yang bisa dijalankan melalui port tersebut, umumnya port itu dilakukan untuk serangan DOS dan DDOS.
- Metode UNENCRYPTED stored password, Setelah web server target terkuasai maka untuk melanjutkan aktifitas peretasan dengan melihat keseluruhan isi dari file konfigurasi koneksi database tersebut terletak pada directory inter/config.inc dengan cara menggunakan perintah cat, lalu mengintip tabel yang berisikan username dan password pengelola CMS. Alhasil, jika tidak teliti si admin web biasanya sering sekali membiarkan password-password tersebut bebas telanjang. Dengan metode dan cara seperti inilah akses admin didapatkan.
Pasti pada pusing bacanya ya he he he. Semua hal tersebut hanya sekedar sebagian kecil saja dari metode dan Cara Mencari Kelemahan Suatu Web Tanpa Software dan tentunya masih banyak cara-cara yang lain. perlu di ingat saja bahwa tujuan artikel ini hanya untuk sekedar pembelajaran dan sebagai sarana untuk meningkatkan pengetahuan. Mungkin hanya itu saja semoga bermanfaat untuk agan sobat brother bro semua.
BACA JUGA:
[ LAKONWARE™ © 2017] - Cara Mencari Proxy Squid Yang Work 2017
[ LAKONWARE™ © 2017] - Tips & Trik Mencari Bug Host All Operator Terbaru 2017
[ LAKONWARE™ © 2017] - Tips & Trik Mencari Bug Host All Operator Terbaru 2017
=======Lakonware Computer™ © 2017=======
Rubrik ini membahas artikel tentang Cara Mencari Kelemahan Suatu Web Tanpa Software dan anda juga bisa menemukan artikel Cara Mencari Kelemahan Suatu Web Tanpa Software dengan url http://www.lakonware.info/2017/08/cara-mencari-kelemehan-suatu-web-tanpa-software.html. Dilarang keras mengcopy dan menyebar luaskan artikel apapun yang ada di dalam blog ini tanpa seizin admin dan pengelola blog yang bersangkutan. Apabila ingin mengcopy atau menyebarluaskan artikel Cara Mencari Kelemahan Suatu Web Tanpa Software ini wajib mencantumkan link sumber aslinya.
Diterbitkan oleh LAKONWARE COMPUTER™ © 2017
BERITA LENGKAP DI HALAMAN BERIKUTNYA
Halaman Berikutnya